为什么auditd日志文件不删除？

Question

我在64位Ubuntu12.04上安装了auditd，以跟踪一些意外删除(关于审计的好讨论)。这是我的规则(使用deletes关键字标记删除)：

-a exit,always -F arch=b64 -S unlink -S rmdir -k deletes

auditctl -l显示了它的配置：

LIST_RULES: exit,always arch=3221225534 (0xc000003e) key=deletes syscall=rmdir,unlink

这是非常有效的：

# mkdir xyx
# rmdir xyz
# ausearch -k deletes|grep 'xyz'
type=PATH msg=audit(1406147794.737:1880): item=1 name="xyz" inode=12386307 dev=08:04 mode=040755 ouid=0 ogid=0 rdev=00:00

但这并不意味着：

# touch xyx
# rm xyx
# ausearch -k deletes|grep 'xyz'

我可以看到所有其他类型的删除都会被记录。我遗漏了什么？

Answer 1

我也面临着同样的问题，只是找到了解决办法。您需要使用unlinkat作为系统调用跟踪：

-a exit,always -F arch=b64 -S unlink -S rmdir -S unlinkat

因为rm没有使用unlink。谢谢李宁的在超级用户上发布的答案：

Answer 2

如果这是

 -a exit,always -F arch=b64 -S unlink -S rmdir -k deletes

您的命令在哪里让它记录rm？我假设它会记录rmdir，而不是日志rm (如您的2个示例所示)。

看看审计的细节，我会假设你需要这样的东西：

-a exit,always -F arch=b64 -S unlink -S rm -S rmdir -k delete